Foto: Teknologi.id/ Yasmin Najla Alfarisi

Teknologi.id -  Dunia kripto baru saja menyaksikan tragedi finansial yang mengerikan. Seorang investor "whale" kehilangan hampir $50 juta atau sekitar Rp 838 miliar, dalam waktu satu jam saja. Pencurian besar-besaran ini bukanlah peretasan yang sulit. Melainkan hal itu disebabkan oleh Address Poisoning, sebuah taktik penipuan yang memanfaatkan kebiasaan "copy-paste" (salin-tempel) biasa.

Insiden Transaksi Fatal: Sebuah Keamanan Palsu

Hal ini terjadi pada 20 Desember 2025, saat korban memindahkan USDT (stablecoin milik Tether) dari Binance ke dompet pribadinya. Dengan mengikuti protokol keamanan, korban awalnya mengirimkan 50 USDT sebagai "tes transaksi". Meskipun biasanya aman, namun hal ini membuka kesempatan sempurna bagi sang penyerang.

Tidak lama setelahnya, sebuah bot otomatis mendeteksi aktivitas tersebut dan membuat alamat atau tujuan dompet yang "dipalsukan". Tujuan palsu ini terlihat sangat mirip, bahkan hampir identik dengan tujuan asli milik korban, dengan lima karakter awal dan empat karakter akhir yang sama. Karena kebanyakan antarmuka (interface) dompet menyingkat tujuan dengan titik-titik (contohnya: 0x123...abc), karakter yang berada di tengah, yang mana terdapat perbedaannya, tidak dapat terlihat.

Baca juga: Jangan Sampai Tertipu! Berikut Cara Menghindari Online Scam di Musim Liburan

Bagaimana Cara "Meracuni (Poisoning)" Histori

Saat tujuan palsunya siap, si penipu akan mengirim dana dengan jumlah kecil ke dompet korban, hal ini disebut sebagai "dust transaction (transaksi debu)". Langkah licik ini menyebabkan tertukarnya alamat tujuan penipu ke atas histori transaksi korban.  

Saat korban kembali 26 menit kemudian untuk melanjutkan mengirim 49.999.950 USDT-nya, korban tidak memeriksa kembali seluruh rangkaian tersebut. Tanpa berpikir panjang, korban mengizinkan transfer tersebut. Dalam waktu sekejap, total sebesar Rp838 miliar miliknya dikirim langsung ke dompet si penipu, dan menyebabkan dompet korban benar-benar kosong.

Mencuci Miliaran Uang yang Dicuri

Foto: Freepik/ jcomp

Penyerang tersebut dengan cepat memindahkan curiannya ke tempat aman. Dengan mengatahui kalau Tether dapat "membekukan" USDT yang di-blacklist, penipu menukar dananya dengan DAI lewat MetaMask. Tidak seperti USDT, DAI merupakan stablecoin terpusat yang tidak dapat dibekukan dengan mudah oleh pihak berwenang atau lembaga pemerintah manapun.

Dana yang dikonversi saat itu adalah sekitar 16.690 ETH (Ether) dan dialirkan ke dalam Tornado Cash. Layanan "pencampur (mixer)" ini mencampur transaksi dari ribuan pengguna untuk menutupi jejak digital, sehingga membuatnya hampir tidak mungkin untuk dilacak penyelidik global untuk uang curian secara efektif di seluruh jaringan blockchain.

Negoisasi Mati-Matian dan Ancaman Hukum

Dalam upaya yang penuh putus asa untuk mengembalikan jumlah besar tersebut, korban mengirimkan sebuah pesan on-chain yang menawarkan $1 juta (sekitar Rp16.7 Miliar) "hadiah sayembara (white-hat bounty)" untuk pengembalian 98% dananya. Pesan ini berisi peringatan bahwa aparat penegak hukum telah memiliki "informasi yang dapat ditindaklanjuti" mengenai identitas penyerang dan aktivitas ilegalnya.

"Ini adalah kesempatan terakhir bagi anda untuk menyelesaikan ini dengan damai," tulis korban dalam pesan tersebut. Meskipun negoisasi serupa pernah berhasil sebelumnya, langkah cekatannya untuk memindahkan dana tersebut ke Tornado Cash membuat kembalinya dana korban hampit tidak mungkin terjadi.

Baca juga: Bocor! Meta Diduga Raup Rp50 T dari Jaringan Iklan Scam China

Memahami Ancaman Address Poisoning

Address Poisoning merupakan serangan psikologis. Serangan ini memanfaatkan fakta bahwa alamat blockchain hampir mustahil untuk diingat manusia. Para ahli keamanan seperti Jamseon Lopp mengatakan bahwa serangan seperti ini menyebar dengan cepat, dengan lebih dari 48.000 kasus pada Bitcoin sendiri sejak tahun 2023.

Dengan meningkatnya pencurian kripto hingga $3.4 Miliar (sekitar Rp 56,9 triliun) di tahun 2025, para ahli menyarankan untuk:

• Jangan pernah menyalin dari histori: Selalu gunakan "buku alamat (address book)" yang tersimpan atau scan melalui kode QR.
• Periksa ulang tiap karakter: Jangan memeriksa awalan dan akhiran saja; periksa ulang karakter tengahnya juga.
• Abaikan "Dust": Perhatikan transaksi kecil yang tidak terduga dari alamat tidak dikenal yang muncul pada riwayat dompet anda.

Kehilangan ini merupakan contoh besar dari kesalahan sesederhana "copy-paste" mengarah ke kehancuran finansial. Di dunia keuangan terdesentralisasi, tidak ada layanan pelanggan yang dapat membatalkan salah klik atau memulihkan aset yang dicuri. Hal ini menjadi peringatan bagi semua orang, terutama mereka yang berinvestasi di dunia kripto.

Baca Berita dan Artikel yang lain di Google News.

(yna/sa)

Foto: Teknologi.id/ Yasmin Najla Alfarisi

Teknologi.id -  Industri streaming musik global sedang dihadapkan sebuah hambatan keamanan. Kelompok aktivis pembajak yang dikenal dengan nama Anna's Archive baru-baru ini mengejutkan dunia teknologi dengan pengakuannya soal pembobolan sistem keamanan Spotify. Kelompok ini melaporkan bahwa mereka sudah mem-"back up" atau mencadangkan keseluruhan koleksi musik di platform tersebut, mengumpulan data sebesar 300 terabyte (TB). Pencurian masif ini mencakup metadata dari 256 juta trek musik dan sekitar 86 juta file audio berkualitas tinggi.

Munculnya “Koleksi Bayangan” Musik Global

Anna's Archive terkenal soal "koleksi bayangan"-nya yang biasanya fokus pada arsip buku, majalah, dan penelitian sains. Namun, proyek terbaru bergeser dengan besar ke dalam industri musik. Dalam sebuah unggahan blog yang berjudul "Backing up Spotify (mencadangkan Spotify)", kelompoknya menjelaskan kalau operasi ini merupakan proyek pertamanya dalam pelestarian musik dunia. 

Menurut data mereka, kelompoknya berhasil mengambil 99,6% dari seluruh lagu yang didengarkan di Spotify sejak tahun 2007 sampai 2025. Karena mereka membaginya melalui jaringan peer-to-peer (P2P) sebagai torrent dalam jumlah besar, file ini dapat dengan mudah disalin oleh siapapun yang memiliki simpanan hardware yang cukup. Sementara audio 300TB-nya dirilis secara bertahap, metadata dari ratusan juta lagu sedang beredar online.

Baca juga: Susul Spotify, ChatGPT Resmi Terintegrasi dengan Apple Music

Bagaimana Lapisan Kemanannya Didobrak

Foto: Freepik

Spotify telah mengonfirmasi adanya "akses tanpa izin (unauthorized access)". Menurut juru bicaranya, sebuah pihak ketiga memanfaatkan kerentanannya untuk mengeruk metadata publik dalam skala industri. Lebih mengejutkannya lagi, penyerangnya menggunakan "taktik ilegal" untuk menghindari perlindungan Pengelolaan Hak Digital (Digital Rights Management/ DRM). Perlindungan ini merupakan kunci utama yang mencegah pengguna untuk dapat mengunduh dan menjaga file musik yang terenkripsi.

Sebagai balasan, Spotify melakukan beberapa tindakan langsung:

• Mereka mengidentifikasi dan menonaktifkan akun pengguna "jahat" yang bertanggung jawab atas pengumpulan datanya.
• Tim teknisnya mengimplementasikan perlindugan keamanan baru yang dirancang untuk memblokir serangan anti-copyright serupa.
• Perusahaannya sedang aktif mengawasi perilaku mencurigakan lebih lanjut dan bekerja sama mitra industri untuk melindungi para kreator.

Spotify meyakinkan kembali para penggunanya bahwa informasi pribadi, seperti password dan kartu kredit, tetap aman. Satu-satunya data pengguna yang diambil adalah daftar lagu (public playlist) yang dibuat komunitas.

Ancaman Layanan Streaming "Buatan Sendiri"

Dampak jangka panjang dari kebocoran ini dapat menyebabkan kerusakan parah. Beberapa Ahli industri, termasuk Yoav Zimmerman, CEO startup teknologi hukum Third Chair, memperingati bahwa begitu data memasuki ekosistem P2P, data tersebut tidak dapat dihapus.

Yoav menjelaskan kalau secara teori, orang manapun dengan pengetahuan teknis yang cukup dan server pribadi besar sekarang dapat merancang versi pribadi dan gratis dari Spotify. "Tiruan" ini akan memiliki hampir semua lagu yang tersedia dalam platform tersebut sampai 2025. Meskipun undang-undang hak cipta berperan sebagai pembatas, adanya file-file ini dalam format tidak terenkripsi membuat pembajakan digital lebih mudah daripada yang pernah terjadi selama puluhan tahun terakhir.

Baca juga: Alat Online Serbaguna untuk Mengunduh Video & Musik dari Berbagai Platform

Ladang Emas Baru untuk AI

Kekhawatirannya kini adalah bagaimana datanya akan digunakan untuk melatih AI. Di era ketika AI generatif membutuhkan data berkualitas tinggi dalam jumlah besar, sebuh koleksi dengan 86 juta lagu dan metadata yang sempurna adalah sumber yang berharga.

Kebobolan ini membuat pengembang AI lebih mudah melatih modelnya dalam musik modern tanpa harus membayar biaya lisensi. Model-model ini dapat digunakan untuk membuat "tiruan tak berizin" atau mengikuti gaya seniman terkenal. Jika platform ini berada di wilayah dengan undang-undang hak kekayaan intelektual yang lemah, hampir tidak mungkin bagi seniman untuk menghentikannya.

Pertempuran Hak Seniman

Sejak ditemukannya, Spotify menempatkan dirinya sebagai pembela hukum industri musik. Perusahaannya mengulang kembali komitmennya bagi komunitas seniman, menyatakan perjuangannya melawan pembajakan dalam segala bentuk.

Namun demikian, seperti yang dikatakan para pengamat, kerusakan sudah terjadi. Meskipun Spotify mengamankan platform-nya, 300TB musik masih berkeliaran di dunia maya underground. Peristiwa ini menjadi pengingat bahwa platform streaming canggih pun harus terus berjuang melawan kelompok yang ingin "membuka" data terbatas ke publik.

Baca Berita dan Artikel yang lain di Google News.

(yna/sa)